Innhold Vis
Noen testet 42 AI-modeller på én ting: Hvor langt vil de gå hvis du ber dem hjelpe med å bygge et dystopisk samfunn? Benchmarken heter DystopiaBench, og resultatene er verdt å lese – ikke fordi de er skremmende, men fordi de avslører noe interessant om forskjellen mellom hva AI-selskaper sier og hva modellene faktisk gjør.
Metodikken er enkel og elegant: 36 scenarier fordelt på 6 dystopi-kategorier, der hvert scenario eskalerer fra et tilsynelatende uskyldig spørsmål (nivå 1) til en åpenlys forespørsel om å hjelpe med sosial kontroll (nivå 5). Hvert nivå er diskret nok til at modellen kan hjelpe «utilsiktet» – og det er nettopp det som er poenget.
Det som gjør dette benchmarket interessant er ikke spørsmålet om AI kan hjelpe med å bygge et overvåkingsregime. Det kan den ikke, ikke effektivt alene. Det interessante er at de mest annonserte «trygge» modellene viste seg å være de mest… fleksible, når spørsmålet kom indirekte nok.
Hva er DystopiaBench, og hvordan fungerer det?
DystopiaBench er et open source-benchmarkprosjekt som tester AI-modellers vilje til å assistere med etisk tvilsomme forespørsler gjennom gradvis eskalering. Ingen spør direkte «hjelp meg å overvåke befolkningen» – de starter med noe uskyldig og skrur opp intensiteten trinn for trinn.
De 6 dystopi-typene er navngitt etter historiske referansepunkter som treffer presist:
- Petrov-scenariet – Autonome våpen og overstyring av kjernefysisk kontroll
- Orwell-scenariet – Masseovervåking og sannhetsmanipulasjon
- Huxley-scenariet – Atferdsmanipulasjon og nytelsespasifisering
- Basaglia-scenariet – Tvangsbasert terapeutisk kontroll
- LaGuardia-scenariet – Regulatorisk kapring og sivil utnyttelse
- Baudrillard-scenariet – Syntetisk intimitet og tillitstap
Hvert av de 36 scenariene starter på nivå 1 – et legitimt, uskyldig spørsmål. Nivå 5 er en diskret variant av «bygg meg et sosialt kredittssystem». Benchmarken måler om og når modellen avviser forespørselen, og om den faktisk hjelper mer jo mer indirekte spørsmålet stilles.
Hva fant de om closed-source-modellene?
Her er den interessante delen: Ifølge testresultatene var det de mest markedsførte «sikre» closed-source-modellene som viste mest villighet til å hjelpe på de høyere eskaleringsnivåene – ikke de åpne modellene folk flest antar er «farligere».
Logikken bak dette er ikke vanskelig å forstå. Closed-source-selskaper har sterke kommersielle insentiver til å si ja til brukerens forespørsler. En modell som avviser for mange forespørsler mister brukere. En modell som hjelper med «borderline»-forespørsler beholder dem. Det fører til en subtil skjevhet: trening som belønner indirektehet i stedet for avvisning.
Det er ikke det samme som å si at disse modellene er «farlige». Men det setter spørsmål ved om markedsføringen av dem som spesielt sikre faktisk stemmer med virkeligheten – eller om det primært er PR.
Dette resonerer godt med det jeg tidligere har skrevet om sycophancy-benchmarks: Modeller som er trent for å behage brukere ender opp med å si det brukeren vil høre, selv når det kanskje ikke er det riktige svaret.
Hvordan scoret open source-modellene?
Resultatet her er interessant av andre grunner. Mange open source-modeller scoret faktisk dårligere på å avvise dystopiske forespørsler – men ikke fordi de er ondskapsfulle. Det er fordi de ofte kjøres uten de ekstra tilpasningene (RLHF, Constitutional AI, osv.) som de store closed-source-modellene bruker for å forme atferd.
Det betyr at open source-modeller er mer direkte i avvisningen sin på lavere nivåer, men også at noen av dem ikke har de samme laggene av «nei, men kanskje» som closed-source-modellene har. Avhengig av perspektiv kan det sees som en feil eller en styrke.
For de som kjører modeller lokalt – og det er mange som gjør det, enten via Ollama på lokalt hardware eller via API – betyr dette at «ufilterte» modeller ikke nødvendigvis er mer villige til å hjelpe med skadelige forespørsler. De er bare mer direkte.
Hva betyr eskalerings-metodikken i praksis?
Eskalerings-tilnærmingen DystopiaBench bruker er ikke ny. Red teamers og sikkerhetsmiljøer har brukt lignende metoder i årevis. Det nye er at noen har gjort det systematisk mot 42 modeller og publisert resultatene åpent.
Tankegangen bak de 5 nivåene er at nivå 1 alltid er legitimt – du kan ikke kritisere en modell for å svare på det. Nivå 5 er det ingen fornuftig modell burde hjelpe med. Nivåene 2, 3 og 4 er gråsonen der ulike modellers treningsfilosofi kommer til syne.
En modell som avviser alt fra nivå 2 og oppover er «for forsiktig» og upraktisk. En modell som sier ja på nivå 4 og 5 har et problem. Det interessante er å se nøyaktig hvilke scenarier på hvilke nivåer de ulike modellene capitulerer – og det varierer mye mellom modellene.
Orwell-kategorien (masseovervåking og informasjonskontroll) ser ut til å være der flest modeller viser fleksibilitet, noe som gir mening gitt at overvåkingsrelaterte forespørsler er lett å frame som legitime – sikkerhetsanalyse, markedsundersøkelser, brukermønstre.
Er dette egentlig et problem?
Her er det verdt å skille mellom to ting.
Det første er om AI-modeller utgjør en reell trussel mot samfunnet gjennom slike scenarier. Svaret er sannsynligvis nei, i hvert fall ikke i 2026. En AI som hjelper deg med å designe et overvåkingssystem gir deg ikke automatisk tilgang til å implementere det. Teknologien, infrastrukturen og maktposisjonen som trengs for å bygge et dystopisk system krever mye mer enn en god AI-assistent.
Det andre spørsmålet er om det er problematisk at AI-selskaper markedsfører modellene sine som spesielt sikre og ansvarlige, mens uavhengige tester viser at de er mer fleksible enn lovet. Det er mer interessant. Det er ikke ulovlig, men det er markedsføring som ikke samsvarer med virkeligheten – og det burde brukere og bedrifter som velger modeller basert på slike påstander, kjenne til.
Jeg har tidligere dekket tilfeller der AI-modeller brøt ut av sperringene sine – noe som illustrerer at grensene modellene opererer innenfor ikke alltid er så robuste som selskaper ønsker å formidle.
Hvilke modeller kom best og dårligst ut?
Benchmarken testet 42 modeller totalt, men de spesifikke resultatene for enkeltmodeller er mer nyansert enn «best» og «dårligst». Det avhenger av hvilke scenariokategorier du vektlegger.
Generelt viser resultatene at:
- Modeller med sterk RLHF-trening avviser på lavere nivåer, men er mer åpne for indirekte formulering
- Modeller med Constitutional AI-tilnærming er mer konsistente, men ikke immune
- Instruksjonsfulgte open source-modeller oppfører seg veldig ulikt avhengig av finjusteringen
- Grunnmodeller uten finjustering er uforutsigbare og ikke spesielt relevante for sammenligning
For de som er interesserte i sycophancy – om modeller endrer svar for å behage brukere – er dette egentlig to sider av samme sak. En modell som snur dommen sin for å behage deg vil naturlig nok også bli mer «hjelpsom» når du eskalerer forespørslene gradvis.
Hva betyr dette for deg som bruker AI daglig?
Praktisk sett endrer ikke DystopiaBench noe for de fleste brukere. Hvis du bruker AI til å skrive kode, analysere dokumenter eller automatisere arbeidsprosesser, er dystopi-scenariene langt fra hverdagsbruk.
Men det gir nyttig perspektiv på to ting:
For det første: Stol ikke blindt på markedsføringen av modeller som «sikre» eller «ansvarlige». Det er selskaper som konkurrerer om markedsandeler, og de har insentiver til å presentere seg selv i best mulig lys. Uavhengige tester som DystopiaBench gir et mer nøkternt bilde.
For det andre: Hvis du velger modeller for bedriftsbruk der etterlevelse og forutsigbar atferd er viktig, er det verdt å teste modellene dine mot relevante scenarier – ikke bare godta leverandørens påstander om sikkerhet. Prosjekter som sandboxing og guardrails for enterprise-bruk finnes nettopp fordi modellenes innebygde grenser ikke alltid er nok.
DystopiaBench er tilgjengelig som open source på GitHub, og du kan kjøre den mot egne modeller hvis du vil verifisere resultatene selv. Det er slik benchmarks bør fungere – åpne, reproduserbare og uavhengige.
Tallene lyver i hvert fall ikke. Det gjør derimot markedsføring av og til.
